ISO/27002: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
 
(29 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' - Kurzbeschreibung
'''ISO/IEC 27002''' - [[IT-Sicherheitsverfahren]] – Leitfaden für das Informationssicherheits-Management
 
== Beschreibung ==
== Beschreibung ==
Die ISO/IEC 27002:2005 führte in zwölf Aufgabenfelder Vorgaben für Risikoanalyse und -bewältigung (Section 4) und insgesamt 123 Kontrollpunkte auf, die zum Teil sehr konkrete Handlungsanweisungen (Implementation guidance) enthalten (Section 5–15).
; <nowiki>ISO/IEC 27002:2005</nowiki>
* Da die neue Norm technikneutral ist, sind diese Handlungsanweisungen jedoch auf der konzeptionellen Ebene und müssen für den konkreten Anwendungsfall auf organisatorische, betriebliche und technische Maßnahmen heruntergebrochen werden.
Die ISO/IEC 27002:2005 führte in zwölf Aufgabenfelder Vorgaben für Risikoanalyse und -bewältigung (Section 4) und insgesamt 123 Kontrollpunkte auf, die zum Teil sehr konkrete Handlungsanweisungen (Implementation guidance) enthalten (Section 5–15)
* Im Bereich der technischen Sicherheitsmaßnahmen lässt sich die ISO/IEC 27002:2005 sinnvoll durch die [[IT-Grundschutz-Kataloge]] des [[Bundesamt für Sicherheit in der Informationstechnik|Bundesamts für Sicherheit in der Informationstechnik]] ergänzen.
* Da die neue Norm technikneutral ist, sind diese Handlungsanweisungen jedoch auf der konzeptionellen Ebene und müssen für den konkreten Anwendungsfall auf organisatorische, betriebliche und technische Maßnahmen heruntergebrochen werden
* Im Bereich der technischen Sicherheitsmaßnahmen lässt sich die ISO/IEC 27002:2005 sinnvoll durch die [[IT-Grundschutz-Kataloge]] des [[Bundesamt für Sicherheit in der Informationstechnik|Bundesamts für Sicherheit in der Informationstechnik]] ergänzen


Entwickelten sich viele Standards ursprünglich in sprachlicher, geografischer und institutioneller Hinsicht unabhängig voneinander, nähern sich die Normen immer mehr einander an.
Entwickelten sich viele Standards ursprünglich in sprachlicher, geografischer und institutioneller Hinsicht unabhängig voneinander, nähern sich die Normen immer mehr einander an
* Seit Erscheinen der ISO/IEC 17799-Norm im Jahr 2000 hat besonders das Thema der Kompatibilität der Standards untereinander die Weiterentwicklung geprägt.
* Seit Erscheinen der ISO/IEC 17799-Norm im Jahr 2000 hat besonders das Thema der Kompatibilität der Standards untereinander die Weiterentwicklung geprägt
* So ist der [[IT-Grundschutz]] zur ISO/IEC 27001-Norm kompatibel.
* So ist der [[IT-Grundschutz]] zur ISO/IEC 27001-Norm kompatibel
* Seit 2012 werden alle ISO-Normen einer neuen Struktur für Managementstandards mit dem Namen ''Annex SL'' angepasst.
* Seit 2012 werden alle ISO-Normen einer neuen Struktur für Managementstandards mit dem Namen ''Annex SL'' angepasst
* Damit bezweckt die ISO eine bessere Verknüpfung der Standards untereinander.
* Damit bezweckt die ISO eine bessere Verknüpfung der Standards untereinander
* Die Einführung und Verwendung mehrerer ISO-Standards wie zum Beispiel der ISO/IEC 27001 und der [[ISO/IEC 20000]] nebeneinander soll vereinfacht werden.
* Die Einführung und Verwendung mehrerer ISO-Standards wie 27001 und der [[ISO/IEC 20000]] nebeneinander soll vereinfacht werden


Die ISO/IEC-Standards zur Informationssicherheit sollen sukzessive erweitert werden: im August&nbsp;2013 waren 21&nbsp;Standards erschienen und insgesamt mindestens 31 Normen geplant.
Die ISO/IEC-Standards zur Informationssicherheit sollen sukzessive erweitert werden: im August&nbsp;2013 waren 21&nbsp;Standards erschienen und insgesamt mindestens 31 Normen geplant
{| class="float wikitable"
|-
! Übersicht !!
|-
| Typ || ISO/IEC
|-
| Nummer || 27002
|-
| Bereich || Informationstechnik
|-
| Titel || [[IT-Sicherheitsverfahren]] <br>Leitfaden für das Informationssicherheits-Management
|-
| Stand || 2022-02
|-
| [[ICS]] || 03.100.70, 35.030
|}


; Übersicht
Die '''ISO/IEC 27002''' (bis 1. Juli 2007: [[International Organization for Standardization|ISO]]/[[International Electrotechnical Commission|IEC]] 17799) ist ein internationaler Standard, der Empfehlungen für diverse Kontrollmechanismen für die [[Informationssicherheit]] beinhaltet. Dabei geht es um Sicherheit gegen Angriffe (engl. {{lang|en|''security''}}). Der entsprechende Standard für die funktionale Sicherheit (engl. {{lang|en|''safety''}}) ist die ISO/IEC 90003, siehe [[ISO 9001]]. Der Standard ist Teil der [[ISO/IEC 27000-Reihe]]
* Typ: ISO/IEC
* Nummer: 27002
* Bereich: Informationstechnik
* Titel: [[IT-Sicherheitsverfahren]] – Leitfaden für das Informationssicherheits-Management
* Stand: 2022-02<ref name="2022-02">{{Internetquelle |url=https://www.beuth.de/de/norm/iso-iec-27002/352094880 |titel=ISO/IEC 27002:2022-02 |abruf=2022-05-26 |werk=beuth.de}}</ref>
* ICS: 03.100.70, 35.030


Die '''ISO/IEC 27002''' (bis 1. Juli 2007: [[International Organization for Standardization|ISO]]/[[International Electrotechnical Commission|IEC]] 17799) ist ein internationaler Standard, der Empfehlungen für diverse Kontrollmechanismen für die [[Informationssicherheit]] beinhaltet. Dabei geht es um Sicherheit gegen Angriffe (engl. {{lang|en|''security''}}). Der entsprechende Standard für die funktionale Sicherheit (engl. {{lang|en|''safety''}}) ist die ISO/IEC 90003, siehe [[ISO 9001]]. Der Standard ist Teil der [[ISO/IEC 27000-Reihe]].
; Zertifizierung nach ISO/IEC 27002 nicht möglich
* Es sich bei der Norm um eine Sammlung von Vorschlägen
**(„sollte“, im Englischen: „should“) und nicht Forderungen („muss“, im Englischen: „shall“) handelt
* Soll ein [[Information Security Management System|Informationssicherheitsmanagementsystem (ISMS)]] zertifiziert werden, ist dies nur über die Erfüllung der Anforderungen nach [[ISO/IEC 27001]] möglich


Eine Zertifizierung nach ISO/IEC 27002 ist grundsätzlich nicht möglich, da es sich bei der Norm um eine Sammlung von Vorschlägen („sollte“, im Englischen: „should“) und nicht Forderungen („muss“, im Englischen: „shall“) handelt. Soll ein [[Information Security Management System|Informationssicherheitsmanagementsystem (ISMS)]] zertifiziert werden, ist dies nur über die Erfüllung der Anforderungen nach [[ISO/IEC 27001]] möglich.
; Betreuung in Deutschland
Der deutsche Anteil an dieser internationalen Normungsarbeit des [[SC 27|ISO/IEC JTC 1/SC 27 Information Technology - Security Techniques]] wird vom ''DIN NIA-01-27 IT-Sicherheitsverfahren'' betreut


=== Historische Entwicklung ===
=== Historische Entwicklung ===
==== Entstehung bei der British Standards Institution ====
==== Entstehung bei der British Standards Institution ====
Grundlage für die Standardisierung war hierbei eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis, also ähnlich [[ITIL]] um einen „Best Practice“-Ansatz zu erreichen. Diese Sammlung erschien als Ergebnis der Bemühungen einer ab Januar 1993 tätigen Industriearbeitsgruppe im September 1993 als ''DTI Code of Practice''. Diese Praxisleitlinie war die Basis zur Erstellung des BS 7799.
Grundlage für die Standardisierung war hierbei eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis, also ähnlich [[ITIL]] um einen „Best Practice“-Ansatz zu erreichen. Diese Sammlung erschien als Ergebnis der Bemühungen einer ab Januar 1993 tätigen Industriearbeitsgruppe im September 1993 als ''DTI Code of Practice''. Diese Praxisleitlinie war die Basis zur Erstellung des BS 7799


Im Februar 1995 veröffentlichte das BSI ([[British Standards Institution]]) mit dem BS 7799-1:1995 den ersten Standard im Bereich der Informationssicherheit, um die Sicherheitsaspekte in Zusammenhang mit dem aufkommenden [[Elektronischer Handel|E-Commerce]] zu adressieren. Allerdings war die Durchdringung aufgrund einiger aktueller Probleme wie der bevorstehenden [[Jahr-2000-Problem|Y2K-Problematik]] eher gering. Das änderte sich auch nicht mit der Ausgabe des zweiten Standards BS 7799-2:1998 im Februar 1998, der die Anforderungen an ein Sicherheitsmanagementsystem beschreibt. Es änderte sich erst, als das BSI im April 1999 eine komplett überarbeitete Version beider Standards vorlegte (BS 7799-1:1999 und BS 7799-2:1999) und somit erneut das Interesse der ISO weckte.
Im Februar 1995 veröffentlichte das BSI ([[British Standards Institution]]) mit dem BS 7799-1:1995 den ersten Standard im Bereich der Informationssicherheit, um die Sicherheitsaspekte in Zusammenhang mit dem aufkommenden [[Elektronischer Handel|E-Commerce]] zu adressieren. Allerdings war die Durchdringung aufgrund einiger aktueller Probleme wie der bevorstehenden [[Jahr-2000-Problem|Y2K-Problematik]] eher gering. Das änderte sich auch nicht mit der Ausgabe des zweiten Standards BS 7799-2:1998 im Februar 1998, der die Anforderungen an ein Sicherheitsmanagementsystem beschreibt. Es änderte sich erst, als das BSI im April 1999 eine komplett überarbeitete Version beider Standards vorlegte (BS 7799-1:1999 und BS 7799-2:1999) und somit erneut das Interesse der ISO weckte


==== Überführung in einen ISO-Standard ====
==== Überführung in einen ISO-Standard ====
Die ISO übernahm die BS 7799-1:1999 mit unverändertem Inhalt als Norm an und veröffentlichte diese im Jahr 2000 unter der Bezeichnung ISO/IEC 17799:2000. Noch im Jahr 2007 wurde die Norm in ISO/IEC 27002 umbenannt und damit auch namentlich in die Familie [[ISO/IEC 27000-Reihe]] aufgenommen. Mit Ausgabe September 2008 liegt die Norm auch als [[DIN-Norm]] DIN ISO/IEC 27002 vor. Die Normenfamilie behandelt verschiedene Ebenen von Informationssicherheitsmanagementsystemen (ISMS).
Die ISO übernahm die BS 7799-1:1999 mit unverändertem Inhalt als Norm an und veröffentlichte diese im Jahr 2000 unter der Bezeichnung ISO/IEC 17799:2000. Noch im Jahr 2007 wurde die Norm in ISO/IEC 27002 umbenannt und damit auch namentlich in die Familie [[ISO/IEC 27000-Reihe]] aufgenommen. Mit Ausgabe September 2008 liegt die Norm auch als [[DIN-Norm]] DIN ISO/IEC 27002 vor. Die Normenfamilie behandelt verschiedene Ebenen von Informationssicherheitsmanagementsystemen (ISMS)
 
=== Betreuung in Deutschland ===
Der deutsche Anteil an dieser internationalen Normungsarbeit des [[SC 27|ISO/IEC JTC 1/SC 27 Information Technology - Security Techniques]] wird vom ''DIN NIA-01-27 IT-Sicherheitsverfahren'' betreut.


== Versionen ==
== Versionen ==
; Versionen und Inhalte
; Versionen und Inhalte
{| class="wikitable sortable options"
{| class="wikitable options sortable"
|-
|-
! Option !! Beschreibung
! Option
|-
|-
| ISO/IEC 17799:2000 ||
| [[#ISO/IEC 17799:2000|ISO/IEC 17799:2000]]
|-
|-
| ISO/IEC 27002:2005 ||
| [[#ISO/IEC 27002:2005|ISO/IEC 27002:2005]]
|-
|-
| ISO/IEC 27002:2013 ||
| [[#ISO/IEC 27002:2013|ISO/IEC 27002:2013]]
|-
|-
| ISO/IEC 27002:2017 ||
| [[#ISO/IEC 27002:2017|ISO/IEC 27002:2017]]
|-
|-
| ISO/IEC 27002:2022 ||
| [[#ISO/IEC 27002:2022|ISO/IEC 27002:2022]]
|}
|}


=== Ausgabe ISO/IEC 17799:2000 ===
=== ISO/IEC 17799:2000 ===
Im Zuge der Überarbeitung der ISO/IEC 17799:2000 wurden jeweils neue Hauptkategorien und Sicherheitsmaßnahmen hinzugefügt. Der Standard wurde im Zuge dieser Überarbeitung auch bzgl. seines Aufbaus geringfügig umstrukturiert, d.&nbsp;h., es wurde u.&nbsp;a. ein neuer Überwachungsbereich geschaffen (Information security incident management - Umgang mit Sicherheitsvorfällen). Er baut auf Inhalten auf, die sich bis dahin in einem anderen Kapitel befanden.
Im Zuge der Überarbeitung der ISO/IEC 17799:2000 wurden jeweils neue Hauptkategorien und Sicherheitsmaßnahmen hinzugefügt. Der Standard wurde im Zuge dieser Überarbeitung auch bzgl. seines Aufbaus geringfügig umstrukturiert, d.&nbsp;h., es wurde u.&nbsp;a. ein neuer Überwachungsbereich geschaffen (Information security incident management - Umgang mit Sicherheitsvorfällen). Er baut auf Inhalten auf, die sich bis dahin in einem anderen Kapitel befanden


=== Ausgabe ISO/IEC 27002:2005 ===
=== ISO/IEC 27002:2005 ===
Die ISO/IEC 27002:2005 befasst sich mit den folgenden 11 Überwachungsbereichen:
; Die ISO/IEC 27002:2005 befasst sich mit elf Überwachungsbereichen
 
{| class="wikitable options"
|-
! Option !! Beschreibung
|-
| Information Security Policy || Weisungen und Richtlinien zur Informationssicherheit
|-
| Organization of information security || Organisatorische Sicherheitsmaßnahmen und Managementprozess
|-
| Asset management || Verantwortung und Klassifizierung von Informationswerten
|-
| Human resources security || Personelle Sicherheit
|-
| Physical and Environmental Security || Physische Sicherheit und öffentliche Versorgungsdienste
|-
| Communications and Operations Management || Netzwerk- und Betriebssicherheit (Daten und Telefonie)
|-
| Access Control || Zugriffskontrolle
|-
| Information systems acquisition, development and maintenance || Systementwicklung und Wartung
|-
| Information security incident management || Umgang mit Sicherheitsvorfällen
|-
| Business Continuity Management || Notfallvorsorgeplanung
|-
| Compliance || Einhaltung rechtlicher Vorgaben, der Sicherheitsrichtlinien und Überprüfungen durch [[Audit]]s
|}


# Information Security Policy – Weisungen und Richtlinien zur Informationssicherheit
; Kontrollziele
# Organization of information security – Organisatorische Sicherheitsmaßnahmen und Managementprozess
Diese 11 Überwachungsbereiche untergliedern sich in 39 Hauptkategorien, sogenannte Kontrollziele
# Asset management – Verantwortung und Klassifizierung von Informationswerten
# Human resources security – Personelle Sicherheit
# Physical and Environmental Security – Physische Sicherheit und öffentliche Versorgungsdienste
# Communications and Operations Management – Netzwerk- und Betriebssicherheit (Daten und Telefonie)
# Access Control – Zugriffskontrolle
# Information systems acquisition, development and maintenance – Systementwicklung und Wartung
# Information security incident management – Umgang mit Sicherheitsvorfällen
# Business Continuity Management – Notfallvorsorgeplanung
# Compliance – Einhaltung rechtlicher Vorgaben, der Sicherheitsrichtlinien und Überprüfungen durch [[Audit]]s


Diese 11 Überwachungsbereiche untergliedern sich in 39 Hauptkategorien, sogenannte Kontrollziele. Diese sind mit insgesamt 133 Sicherheitsmaßnahmen untersetzt, deren Anwendung die Erreichung der Kontrollziele unterstützt.
; Sicherheitsmaßnahmen
Diese sind mit insgesamt 133 Sicherheitsmaßnahmen untersetzt, deren Anwendung die Erreichung der Kontrollziele unterstützt


=== Ausgabe ISO/IEC 27002:2013 ===
=== ISO/IEC 27002:2013 ===
Die ISO/IEC 27002:2013 befasst sich mit den folgenden 14 Überwachungsbereichen<ref name="2013-10">{{Internetquelle |url=https://www.beuth.de/de/norm/iso-iec-27002/194462674 |titel=ISO/IEC 27002:2013-10 |abruf=2021-12-16 |werk=beuth.de}}</ref>:
; 14 Überwachungsbereichen
# Information security policies
# Information security policies
# Organization of information security
# Organization of information security
Zeile 91: Zeile 123:
# Information security aspects of business continuity management
# Information security aspects of business continuity management
# Compliance
# Compliance
Diese 14 Überwachungsbereiche untergliedern sich in 35 Hauptkategorien, sogenannte Kontrollziele. Diese sind mit insgesamt 114 Sicherheitsmaßnahmen untersetzt, deren Anwendung die Erreichung der Kontrollziele unterstützt.


=== Ausgabe EN ISO/IEC 27002:2017 ===
; 35 Kontrollziele
{{Infobox Norm
Diese 14 Überwachungsbereiche untergliedern sich in 35 Hauptkategorien, sogenannte Kontrollziele
|Typ = EN ISO/IEC
|Nummer = 27002
|Bereich = Informationstechnik
|Titel = [[IT-Sicherheitsverfahren]] – Leitfaden für das Informationssicherheits-Management
|Beschreibung  = ISO/IEC 27002:2013 einschließlich Cor 1:2014 und Cor 2:2015
|Stand = 2017-06<ref>{{Literatur|DOI=10.31030/2634934 |Titel=DIN EN ISO/IEC 27002:2017-06 |Hrsg=beuth.de}}</ref>
|nationale Übernahmen= EN ISO/IEC 27002:2017-02,<br />DIN EN ISO/IEC 27002:2017-06,<br />ÖNORM EN ISO/IEC 27002:2017-07-01,<br />SN EN ISO/IEC 27002:2017-05
}}
Der Text von ISO/IEC 27002:2013 + Cor. 1:2014 + Cor. 2:2015 wurde vom Technischen Komitee ISO/IEC JTC 1 „Information technology“ der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) erarbeitet und von CEN als Europäische Norm "EN ISO/IEC 27002:2017" ohne Abänderung am 26. Januar 2017 genehmigt.


=== Aktueller Stand ISO/IEC 27002:2022 ===
; 114 Sicherheitsmaßnahmen
Die ISO/IEC 27002:2022 wurde im Zuge einer Überarbeitung bzgl. seines Aufbaus geringfügig umstrukturiert, d.&nbsp;h., es gibt nur noch 4 Kapitel (Überwachungsbereiche), welche die Sicherheitsmaßnahmen enthalten. Ebenso wurden Sicherheitsmaßnahmen ersetzt, zusammengeführt oder entfernt. Jeder Sicherheitsmaßnahme wird nach ihren Eigenschaften kategorisiert.
Diese sind mit insgesamt 114 Sicherheitsmaßnahmen untersetzt, deren Anwendung die Erreichung der Kontrollziele unterstützt


=== ISO/IEC 27002:2017 ===
Der Text von ISO/IEC 27002:2013 + Cor. 1:2014 + Cor. 2:2015 wurde vom Technischen Komitee ISO/IEC JTC 1 „Information technology“ der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) erarbeitet und von CEN als Europäische Norm "EN ISO/IEC 27002:2017" ohne Abänderung am 26. Januar 2017 genehmigt
=== ISO/IEC 27002:2022 ===
Die ISO/IEC 27002:2022 wurde im Zuge einer Überarbeitung bzgl. seines Aufbaus geringfügig umstrukturiert
* es gibt nur noch 4 Überwachungsbereiche, welche die Sicherheitsmaßnahmen enthalten
Ebenso wurden Sicherheitsmaßnahmen ersetzt, zusammengeführt oder entfernt
* Jeder Sicherheitsmaßnahme wird nach ihren Eigenschaften kategorisiert
; 4 Überwachungsbereiche
# Organizational controls
# Organizational controls
# People controls
# People controls
Zeile 113: Zeile 146:
# Technological controls
# Technological controls


Diese 4 Überwachungsbereiche untergliedern sich in 93 Sicherheitsmaßnahmen, deren Anwendung die Erreichung der Kontrollziele unterstützt.
Diese 4 Überwachungsbereiche untergliedern sich in 93 Sicherheitsmaßnahmen, deren Anwendung die Erreichung der Kontrollziele unterstützt


== Anhang ==
== Anhang ==
Zeile 119: Zeile 152:
=== Siehe auch ===
=== Siehe auch ===
{{Special:PrefixIndex/ISO/270}}
{{Special:PrefixIndex/ISO/270}}
 
----
{{Special:PrefixIndex/ISO}}
==== Links ====
==== Links ====
===== Projekt =====
===== Projekt =====
Zeile 128: Zeile 162:
# [http://www.jtc1sc27.din.de/en ISO/IEC JTC 1/SC 27 IT Security Techniques]
# [http://www.jtc1sc27.din.de/en ISO/IEC JTC 1/SC 27 IT Security Techniques]


[[Kategorie:ISO 27000]]
[[Kategorie:ISO/27000]]


= TMP =
enthält Empfehlungen für diverse Kontrollmechanismen für die Informationssicherheit.<br />Am 15. Juni 2005 wurde der Leitfaden ISO/IEC 17799:2005 ''Information technology – Security techniques – Code of practice for information security management veröffentlicht, der auf BS 7799-1-Norm fußt.
* Bezugnehmend auf ''ISO/IEC JTC 1/SC 27 N5981 Secretariat ISO/IEC JTC 1/SC 27 – [[Deutsches Institut für Normung]] e.V. || ist die Norm seit Sommer 2007 von ISO/IEC 17799:2005 in ISO/IEC 27002:2005 umbenannt worden.
</noinclude>
</noinclude>

Aktuelle Version vom 23. Mai 2024, 17:36 Uhr

ISO/IEC 27002 - IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management

Beschreibung

ISO/IEC 27002:2005

Die ISO/IEC 27002:2005 führte in zwölf Aufgabenfelder Vorgaben für Risikoanalyse und -bewältigung (Section 4) und insgesamt 123 Kontrollpunkte auf, die zum Teil sehr konkrete Handlungsanweisungen (Implementation guidance) enthalten (Section 5–15)

  • Da die neue Norm technikneutral ist, sind diese Handlungsanweisungen jedoch auf der konzeptionellen Ebene und müssen für den konkreten Anwendungsfall auf organisatorische, betriebliche und technische Maßnahmen heruntergebrochen werden
  • Im Bereich der technischen Sicherheitsmaßnahmen lässt sich die ISO/IEC 27002:2005 sinnvoll durch die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik ergänzen

Entwickelten sich viele Standards ursprünglich in sprachlicher, geografischer und institutioneller Hinsicht unabhängig voneinander, nähern sich die Normen immer mehr einander an

  • Seit Erscheinen der ISO/IEC 17799-Norm im Jahr 2000 hat besonders das Thema der Kompatibilität der Standards untereinander die Weiterentwicklung geprägt
  • So ist der IT-Grundschutz zur ISO/IEC 27001-Norm kompatibel
  • Seit 2012 werden alle ISO-Normen einer neuen Struktur für Managementstandards mit dem Namen Annex SL angepasst
  • Damit bezweckt die ISO eine bessere Verknüpfung der Standards untereinander
  • Die Einführung und Verwendung mehrerer ISO-Standards wie 27001 und der ISO/IEC 20000 nebeneinander soll vereinfacht werden

Die ISO/IEC-Standards zur Informationssicherheit sollen sukzessive erweitert werden: im August 2013 waren 21 Standards erschienen und insgesamt mindestens 31 Normen geplant

Übersicht
Typ ISO/IEC
Nummer 27002
Bereich Informationstechnik
Titel IT-Sicherheitsverfahren
Leitfaden für das Informationssicherheits-Management
Stand 2022-02
ICS 03.100.70, 35.030

Die ISO/IEC 27002 (bis 1. Juli 2007: ISO/IEC 17799) ist ein internationaler Standard, der Empfehlungen für diverse Kontrollmechanismen für die Informationssicherheit beinhaltet. Dabei geht es um Sicherheit gegen Angriffe (engl. Vorlage:Lang). Der entsprechende Standard für die funktionale Sicherheit (engl. Vorlage:Lang) ist die ISO/IEC 90003, siehe ISO 9001. Der Standard ist Teil der ISO/IEC 27000-Reihe

Zertifizierung nach ISO/IEC 27002 nicht möglich
  • Es sich bei der Norm um eine Sammlung von Vorschlägen
    • („sollte“, im Englischen: „should“) und nicht Forderungen („muss“, im Englischen: „shall“) handelt
  • Soll ein Informationssicherheitsmanagementsystem (ISMS) zertifiziert werden, ist dies nur über die Erfüllung der Anforderungen nach ISO/IEC 27001 möglich
Betreuung in Deutschland

Der deutsche Anteil an dieser internationalen Normungsarbeit des ISO/IEC JTC 1/SC 27 Information Technology - Security Techniques wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut

Historische Entwicklung

Entstehung bei der British Standards Institution

Grundlage für die Standardisierung war hierbei eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis, also ähnlich ITIL um einen „Best Practice“-Ansatz zu erreichen. Diese Sammlung erschien als Ergebnis der Bemühungen einer ab Januar 1993 tätigen Industriearbeitsgruppe im September 1993 als DTI Code of Practice. Diese Praxisleitlinie war die Basis zur Erstellung des BS 7799

Im Februar 1995 veröffentlichte das BSI (British Standards Institution) mit dem BS 7799-1:1995 den ersten Standard im Bereich der Informationssicherheit, um die Sicherheitsaspekte in Zusammenhang mit dem aufkommenden E-Commerce zu adressieren. Allerdings war die Durchdringung aufgrund einiger aktueller Probleme wie der bevorstehenden Y2K-Problematik eher gering. Das änderte sich auch nicht mit der Ausgabe des zweiten Standards BS 7799-2:1998 im Februar 1998, der die Anforderungen an ein Sicherheitsmanagementsystem beschreibt. Es änderte sich erst, als das BSI im April 1999 eine komplett überarbeitete Version beider Standards vorlegte (BS 7799-1:1999 und BS 7799-2:1999) und somit erneut das Interesse der ISO weckte

Überführung in einen ISO-Standard

Die ISO übernahm die BS 7799-1:1999 mit unverändertem Inhalt als Norm an und veröffentlichte diese im Jahr 2000 unter der Bezeichnung ISO/IEC 17799:2000. Noch im Jahr 2007 wurde die Norm in ISO/IEC 27002 umbenannt und damit auch namentlich in die Familie ISO/IEC 27000-Reihe aufgenommen. Mit Ausgabe September 2008 liegt die Norm auch als DIN-Norm DIN ISO/IEC 27002 vor. Die Normenfamilie behandelt verschiedene Ebenen von Informationssicherheitsmanagementsystemen (ISMS)

Versionen

Versionen und Inhalte
Option
ISO/IEC 17799:2000
ISO/IEC 27002:2005
ISO/IEC 27002:2013
ISO/IEC 27002:2017
ISO/IEC 27002:2022

ISO/IEC 17799:2000

Im Zuge der Überarbeitung der ISO/IEC 17799:2000 wurden jeweils neue Hauptkategorien und Sicherheitsmaßnahmen hinzugefügt. Der Standard wurde im Zuge dieser Überarbeitung auch bzgl. seines Aufbaus geringfügig umstrukturiert, d. h., es wurde u. a. ein neuer Überwachungsbereich geschaffen (Information security incident management - Umgang mit Sicherheitsvorfällen). Er baut auf Inhalten auf, die sich bis dahin in einem anderen Kapitel befanden

ISO/IEC 27002:2005

Die ISO/IEC 27002
2005 befasst sich mit elf Überwachungsbereichen
Option Beschreibung
Information Security Policy Weisungen und Richtlinien zur Informationssicherheit
Organization of information security Organisatorische Sicherheitsmaßnahmen und Managementprozess
Asset management Verantwortung und Klassifizierung von Informationswerten
Human resources security Personelle Sicherheit
Physical and Environmental Security Physische Sicherheit und öffentliche Versorgungsdienste
Communications and Operations Management Netzwerk- und Betriebssicherheit (Daten und Telefonie)
Access Control Zugriffskontrolle
Information systems acquisition, development and maintenance Systementwicklung und Wartung
Information security incident management Umgang mit Sicherheitsvorfällen
Business Continuity Management Notfallvorsorgeplanung
Compliance Einhaltung rechtlicher Vorgaben, der Sicherheitsrichtlinien und Überprüfungen durch Audits
Kontrollziele

Diese 11 Überwachungsbereiche untergliedern sich in 39 Hauptkategorien, sogenannte Kontrollziele

Sicherheitsmaßnahmen

Diese sind mit insgesamt 133 Sicherheitsmaßnahmen untersetzt, deren Anwendung die Erreichung der Kontrollziele unterstützt

ISO/IEC 27002:2013

14 Überwachungsbereichen
  1. Information security policies
  2. Organization of information security
  3. Human resources security
  4. Asset management
  5. Access control
  6. Cryptography
  7. Physical and environmental security
  8. Operations security
  9. Communications security
  10. System acquisition, development and maintenance
  11. Supplier relationships
  12. Information security incident management
  13. Information security aspects of business continuity management
  14. Compliance
35 Kontrollziele

Diese 14 Überwachungsbereiche untergliedern sich in 35 Hauptkategorien, sogenannte Kontrollziele

114 Sicherheitsmaßnahmen

Diese sind mit insgesamt 114 Sicherheitsmaßnahmen untersetzt, deren Anwendung die Erreichung der Kontrollziele unterstützt

ISO/IEC 27002:2017

Der Text von ISO/IEC 27002:2013 + Cor. 1:2014 + Cor. 2:2015 wurde vom Technischen Komitee ISO/IEC JTC 1 „Information technology“ der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) erarbeitet und von CEN als Europäische Norm "EN ISO/IEC 27002:2017" ohne Abänderung am 26. Januar 2017 genehmigt

ISO/IEC 27002:2022

Die ISO/IEC 27002:2022 wurde im Zuge einer Überarbeitung bzgl. seines Aufbaus geringfügig umstrukturiert

  • es gibt nur noch 4 Überwachungsbereiche, welche die Sicherheitsmaßnahmen enthalten

Ebenso wurden Sicherheitsmaßnahmen ersetzt, zusammengeführt oder entfernt

  • Jeder Sicherheitsmaßnahme wird nach ihren Eigenschaften kategorisiert
4 Überwachungsbereiche
  1. Organizational controls
  2. People controls
  3. Physical controls
  4. Technological controls

Diese 4 Überwachungsbereiche untergliedern sich in 93 Sicherheitsmaßnahmen, deren Anwendung die Erreichung der Kontrollziele unterstützt

Anhang

Siehe auch


Links

Projekt
Weblinks
  1. Offizielle Seite der ISO der Veröffentlichung der ISO 27002:2022 (englisch)
  2. DIN-Normenausschuss Informationstechnik und Anwendungen NA 043-01-27 AA IT-Sicherheitsverfahren
  3. ISO/IEC JTC 1/SC 27 IT Security Techniques